PDF冲击波病毒再探
再次审视冲击波病毒的代价,为当今的混合威胁带来了新的启示。
吉姆·莫里森,赛门铁克安全服务
以下故事基于企业在2003年8月面临和根除冲击波蠕虫病毒的真实情况。这个故事从多个角度提供了观点,说明了对抗新型混合威胁所需的复杂性和精细度。
故事情节
莫娜是一位带着两个年幼孩子的单身母亲。她经常在每个月底前就缺钱,这个月也不例外。她正在努力阻止电力公司在下午 5 点断电。她又一次没吃午饭,以便在离她工作地点附近的街角便利店支付水电费。这家商店设有一个当地电力公司提供的支付站,方便客户,也方便像莫娜这样不得不挣扎求生的人。她排队等候,向店员出示了账单和现金。店员开始输入账号和付款金额。“真奇怪,”她评论道。“我以前从未遇到过这种情况!”莫娜问似乎出了什么问题。她时间不多了,必须在断电截止时间前记录付款。“这个系统刚刚卡住了,然后自己重启了,”店员说。她问她的同事刚刚发生了什么事。
另一位店员也在处理付款。“重启一下,通常就能解决问题。等等,你说你的系统自己重启了?我也遇到了同样的情况。现在是怎么回事?”
莫娜拿着现金、未付账单和非常担心的表情离开了商店。她必须赶回工作岗位,在短暂的午休时间结束前给电力公司打电话。也许她可以再争取一天时间,避免断电。
初步观察
电力公司支付亭的支持热线开始像圣诞树一样亮起来;每个打进来的电话都在抱怨 XP 系统不断重启、挂起或在支付应用程序中卡死。技术人员对程序突然的不稳定性感到困惑。上个月刚刚发送了一个更新;代码中是否存在错误?开发人员迅速聚集在会议室中,解读应用程序的奇怪行为。测试实验室被重新配置以测试最新的更新。打给技术支持热线的电话还在继续。到目前为止,超过 100 个支付系统无法正常工作。
自第一个电话打来已经过去了四个小时;大多数商店将在接下来的两个小时内关门,这让技术人员和开发人员有机会工作到晚上,以找到问题的根源。网络管理员被联系来协助解决支付系统中的问题。加入到开发实验室的团队中的还有一位安全团队的成员。他刚刚被告知一种新的蠕虫病毒正在迅速传播,这是安全供应商报告的。早期信息表明,Microsoft DCOM(分布式组件对象模型)漏洞已被利用。该漏洞在 Microsoft 安全公告 MS03-026 中进行了描述。该公告揭示了使用 RPC(远程过程调用)、远程使用 TCP/UDP 端口 135 的缓冲区溢出。
现在事情开始变得有道理了。支付系统通过 ISP 拨号连接和 VPN(虚拟专用网络)链路连接到会计系统,从而可以安全地连接到为支付应用程序建立的 DMZ(隔离区)。如果这些系统因为连接到互联网而受到攻击,那么内部网络应该是安全的。然而,内部的大多数系统都没有打补丁。这让安全团队非常不安,担心公司生产环境之外的资产上正在发生的情况可能会以某种方式蔓延到内部。监控网络以查找异常活动变得显然是必要的,以试图阻止任何感染在内部蔓延。
关于这种新型蠕虫病毒的作用和传播方式的信息开始从安全供应商处传来。毫无疑问,这就是每个人都预期的 DCOM 漏洞利用。距离 Microsoft 发布 -026 公告仅过去了 26 天。这种蠕虫病毒的名字是冲击波 (Blaster)。最初的细节揭示了冲击波病毒如何影响连接到互联网的支付系统,以及使其失效的传播机制。
蠕虫病毒会瞄准 IP 网段,并发送旨在溢出端口 135 上的缓冲区的报文。生成的报文数量足以使 RPC 服务饱和并崩溃。毫无疑问,这就是支付系统在蠕虫病毒最初的目标攻击期间不断重启的原因。早期的文章指出,一旦缓冲区被破坏,命令 shell 将触发 tftp.exe 从受感染的主机上拉取 msblast.exe 到网络中。一旦命令 shell 执行,该过程将一遍又一遍地重复,新感染的主机使用 IP 目标例程来寻找另一台易受攻击的计算机。
安全主管召集了一个紧急会议,在其中一个空闲的会议室里,以确定事实并决定应采取的行动。整个团队现在都被正在进行的优先级和截止日期也都很高的项目清单所打乱。“好的,我们有什么?”主管问道,他非常担心关键收入系统现在完全无法运行的早期报告。
“看起来像是外部传播的蠕虫病毒,正在攻击我们的支付系统,”支付系统应用程序的首席技术人员主动说道。
与此同时,莫娜对客户服务越来越不耐烦。在要求与主管通话后,她一直处于等待状态,因为第一位客户服务代表不同意延长她的水电费支付时间。莫娜被告知在下午 5 点之前亲自到分公司办公室支付账单,否则将面临断电。这不是一个可行的选择——她不能提前下班,及时赶到镇上最近的分公司办公室,尤其是因为她最近不得不请假照顾生病的孩子。主管采取了强硬态度。“但是商店里的系统坏了,这不是我的错!”莫娜惊呼。“我很抱歉,”主管回答说,“那是我们的政策。我们必须在下午 5 点前收到您的付款。”莫娜挂断了电话。如果不能再多一天时间支付账单,她将面临断电的必然结果,这意味着额外的重新连接费,而且没有灯或炉子为孩子们做热饭。
回到电力公司的会议室,安全主管问支付系统技术人员:“这些系统不是打过补丁了吗?”
“没有,并非所有系统都打过补丁,”技术人员解释说。“我们尝试过,但是当我们尝试通过慢速链接部署时,我们的补丁代理挂起了。由于大多数支付系统都没有打补丁,它们首先瘫痪了。”
主管问这些系统要多久才能恢复运行。
“我们希望派一些人带着包含补丁和最新病毒定义的 CD 送到所有商店,”技术人员说道,他避免与主管进行眼神交流,因为他知道主管可能会勃然大怒。
传播与遏制
帮助台的晚班刚刚开始上班。日班人员被要求留下来处理用户打来的电话,他们抱怨系统缓慢和意外重启。他们从订阅电子邮件列表和 CNN 的报道中收到的安全警报中得知,蠕虫病毒正在传播。蠕虫病毒已经进入内部,这已是不言而喻的结论。他们刚刚在两个月前清理完 Fizzer 病毒。那次病毒严重破坏了公司邮件系统。手头的任务是识别受感染的系统,并将它们从网络中移除。防火墙管理员已开始嗅探网络并监控日志,以查找端口 135 扫描。
最新的文章揭示了打开端口作为潜在黑客获取受攻击系统访问权限的后门。需要在边界阻止端口 4444,以防止未经授权的访问。一位防火墙管理员将文章中的线索与来自嗅探器的数据进行了比较。由于防火墙是 Linux 平台,因此本机 TCPDUMP 实用程序能够捕获信息,并针对可疑的内部 IP 网段进行了过滤(参见图 1)。
来自 192.168.0.1 系统的端口 135 命中正在攻击 192.168.0.3 机器。shell 在蠕虫病毒中打开了 TCP 端口 4444 上的后门元素。端口 69 标识了蠕虫病毒的传播,它正在攻击另一个系统,侦听下一个易受攻击的系统上的 tftp.exe,以便将可执行文件拉取过来。发现了一个受感染的系统,但该网段位于整个园区访客办公室的范围内。这个系统可能在任何地方。显然,这不是公司系统,但它在哪里呢?
追踪
白天变成了夜晚,应用程序团队现在正在实验室中测试脚本,这些脚本将自动为整个区域各个远程位置的 XP 系统打补丁。内部开发的支付应用程序在使用时提供了一定程度的安全性。本地登录的自助服务终端用户触发 ISP 拨号连接并启动支付输入应用程序。要为系统打补丁,必须使用 XP 系统上的管理员帐户来运行安全补丁。尝试编写脚本使非技术人员能够完成这项任务具有挑战性。
使用 TCPDUMP 继续监控网络,记录不同的 IP 网段。最初在访客办公室的某个地方发现的端口 135 扫描已不再活跃。帮助台晚班一直在制定一份用户、机器名称和 IP 地址的列表,这些用户曾打电话报告突然重启、系统无响应以及任何看起来可疑的情况。
在大多数用户下班前及时告知他们关闭系统,这个消息还没有传达出去。希望任何已受感染并正在 ping 网络的系统都可以在夜间找到。访客办公室的系统消失了,但嗅探器跟踪到同一 IP 网段上的另一个系统。机器名称表明它是分配给前台安全柜台的系统。
进一步调查显示,该系统除了偶尔需要修改长期合同工的徽章图像外,没有其他用途。这是通过数字图像处理应用程序完成的。为了方便起见,该系统与访客办公室位于同一 IP 网段,但它被授予访问主生产网络的权限,以便将图像文件放置在人力资源部门使用的服务器上的开放共享中。该服务器计划退役,几乎未使用,仅用于存储图像。在微软发布 -026 补丁后,全力以赴为服务器打补丁期间,是否忽略了这个系统?
第二天早上,人力资源部门的工作人员开始启动他们的系统,像往常一样开始一天的工作。没过多久,他们每天晚上带回家的 XP 笔记本电脑就开始表现出与支付系统相同的特性:突然重启、拖放功能丧失以及其他奇怪的行为。人力资源部门的工作人员打电话给帮助台。一位技术人员能够远程连接到其中一个系统,并看到了冲击波蠕虫病毒正在影响人力资源部门的明显迹象(参见图 2)。
这是一个确凿的证据!现在的任务是找到感染源。
用于第一次讨论的会议室已改为作战室。白板上写满了帮助台收集的 IP 地址,这些地址是疑似受感染并试图传播蠕虫病毒的系统。另一张列出所有无法正常工作的支付系统的列表覆盖了整个便携式白板。这些系统必须先打上补丁,才能再次用于接收付款。
安全主管要求提供关于系统 ping 端口 135 的最新报告,以便能够定位它们并将它们从网络中移除。一个可疑系统是人力资源服务器。昨天在访客办公室看到的 IP 地址也在列表中。主管指派一位防火墙技术人员嗅探人力资源网段。“为什么人力资源服务器会感染?”他问道。房间里的一位网络管理员建议说,它不在活动服务器列表中,并且优先处理了所有关键服务器。这个服务器被遗漏了。“我们的供应商关于这个东西如何工作的最新技术细节是什么?”安全主管问道。几位技术人员正在监控供应商的安全网站,以获取最新细节,并开始提供最新发布的细节。他们能够提供冲击波病毒使用的传播例程。
被派去嗅探人力资源网段的技术人员带回了一堆打印件,我们得以隔离感染源。人力资源服务器正试图在同一网段上传播蠕虫病毒。看起来该例程还会寻找附近的网段八位字节(参见图 3)。
将打印件与供应商提供的信息进行比较时,该例程开始变得有意义。查看其中一篇文档,嗅探器打印件证实了文档中描述的行为。冲击波病毒生成一个 IP 地址,并尝试感染具有该地址的计算机。IP 地址是根据以下算法生成的
• 在 40% 的时间内,生成的 IP 地址的形式为 A.B.C.0,其中 A 和 B 等于受感染计算机 IP 地址的前两个部分。
• C 也通过受感染系统 IP 地址的第三部分计算得出;但是,在 40% 的时间内,蠕虫病毒会检查 C 是否大于 20。如果是,则从 C 中减去一个小于 20 的随机值。计算出 IP 地址后,蠕虫病毒将尝试查找和攻击 IP 地址为 A.B.C.0 的计算机。
• 然后,蠕虫病毒会将 IP 地址的 0 部分递增 1,尝试查找和攻击基于新 IP 地址的其他计算机,直到达到 254。
莫娜的闹钟把她吵醒了——这是一个好兆头,表明她仍然有电。也许,由于支付系统出现问题,电力公司给了她额外的时间。她开始为孩子们准备热早餐,给他们穿好衣服,然后送他们去上学,然后再面对新的一天,处理客户服务以争取更多时间避免断电。
在作战室里,他们能够识别出几台分配给人力资源部门但尚未通过补丁更新的 XP 笔记本电脑。“为什么这些系统没有更新?”安全主管问道。他已经召集了补丁部署团队。由于没有标准化补丁技术,该团队不得不使用不同的方法来努力领先于漏洞。
“根据我们所能确定的情况,这些 XP 笔记本电脑有些不同,”一位部署技术人员评论道。“日志显示补丁已运行,但在检查文件时,我们看到一些 DLL 没有更新。”
表 1 是应该已更新的文件列表,从 Microsoft 网站上提取
抽查显示,文件版本与之前相同,因此从未更新。“我们在这些系统上对组策略做了什么特殊处理吗?”主管问道。他正在茫然地寻找一些答案,以解决这个最新的曲折和障碍,以便使所有公司系统都保持最新状态,并帮助遏制蠕虫病毒的传播,该病毒现在感染了大约 500 个内部系统。
“我们在这些 XP 系统上唯一做的不同之处是限制用户策略,”首席技术人员承认道。
“你能研究一下策略是否以某种方式妨碍了补丁更新吗?”主管问道。他的耐心开始耗尽,每个人都知道这一点。
帮助台的每个人、每个本地网络和防火墙管理员、邮件管理员以及网络运营中心都专注于查找在网络上广播的系统,将它们从线路中移除,并手动为它们打补丁。每个人都很累;为部队带来的食物有所帮助,但每个人都在默默地希望自己身在别处。
莫娜没吃午饭,试图在昨天被拒之门外的同一家商店付款。“你们可以付款了吗?”店员说不能,也不知道什么时候会有人来让系统恢复在线。莫娜害怕给客户服务部门打电话,恳求延期付款。
为第二次攻击做准备
一周结束了,作战室仍在运行。白板上的系统列表越来越短,大多数支付系统都已打上补丁并正在处理付款。有些系统停机了三天,比如莫娜工作场所附近的那台。
网络运营人员被召集在一起,讨论下一个要处理的关于冲击波病毒的问题。他们知道他们还没有找到所有未打补丁的系统。笔记本电脑通常在外面使用,在网络上找到它们并发送补丁,或者让用户将机器带到外地办事处,这始终是一个碰运气的事情。这意味着在 16 号,他们可能会看到针对 Microsoft 发起的大量流量。冲击波病毒的第二阶段,即针对 windowsupdate.com 发起 DoS(拒绝服务)攻击,迫在眉睫。
网络运营团队听取了关于冲击波病毒被触发在周末发起 SYN 洪水攻击的简报。审查了具体细节。DoS 流量具有以下特征
• 是针对 windowsupdate.com 端口 80 的 SYN 洪水。
• 尝试每秒发送 50 个 HTTP 数据包。
• 每个数据包的长度为 40 字节。
• 如果蠕虫病毒找不到 windowsupdate.com 的 DNS(域名系统)条目,它将使用目标地址 255.255.255.255。
TCP 和 IP 标头的一些固定特征是
• IP 标识 = 256
• 生存时间 = 128
• 源 IP 地址 = a.b.x.y,其中 a.b 来自主机 IP,x.y 是随机的。在某些情况下,a.b 是随机的。
• 目标 IP 地址 = “windowsupdate.com” 的 DNS 解析
• TCP 源端口介于 1000 和 1999 之间
• TCP 目标端口 = 80
• TCP 序列号始终将低两位字节设置为 0;高两位字节是随机的。
• TCP 窗口大小 = 16384
新任务是制定一个计划来监控端口 80 上发往 windowsupdate.com 的出站流量,以尝试追溯仍然受感染但以前未知的系统。系统被逐个从网络中移除、打补丁、扫描、修复,有时甚至完全重装映像。启动 DoS 的系统可以通过防火墙或代理日志进行跟踪。工作人员将不得不在周末加班。
事后分析结果
参与冲击波病毒缓解工作的整个团队现在聚集在一起召开事后分析会议,以回顾发生了什么,并制定一些实质性的内容,为下一次做好准备。自从第一次在空闲的会议室聚集起来分析问题以来,已经过去了一个月。从第一个支付系统突然重启到这次会议,每个参与者都投入了大量的人力,追逐感染、为系统打补丁、为最初失败的系统重新打补丁,并在现场手动处理 100 多个支付系统地点。本次会议旨在回顾如何才能有所不同。
安全主管提出了他的议程项目。已要求来自各个团队的技术负责人总结他们团队的任务和职责,并诚实地详细说明失败之处,并找到合理的解释。补丁部署团队首先被点名。
“总结一下,”首席技术人员说,“我们应该考虑标准化单一补丁技术。从我们之前通过收购实现的增长以及随这些收购的业务部门而来的遗留补丁系统来看,我们应该为整个企业提供一个标准的软件解决方案。”这是一个合理的结论,但今年的预算不包括为企业中 20% 使用非标准解决方案的部分购买新许可证的预算项目,更不用说实施此类升级的资源问题了。
“我们是否查明了人力资源部门的 XP 系统在第一次尝试中没有打上补丁的原因?”主管问道。
“我们不得不做一些研究,但我们发现我们锁定用户的方式阻止了补丁的正常运行,”一位策略管理员哀叹道。“我们发现的是,本地计算机的软件限制策略只允许本地计算机管理员选择受信任的发布者。由于我们的补丁代理以伪用户身份运行,因此该代理没有必要的权限。这就是导致失败的原因。我们更改了人力资源系统的组策略,以便我们现在可以远程打补丁。”
然后,主管询问了人力资源服务器,该服务器是人力资源部门原始感染的来源。
“那是另一个有趣的故事,”首席技术人员回答说。“我们绕过了为人力资源服务器打补丁,因为我们计划在本周结束时将其下线并更换,而冲击波病毒就在同一周袭击了我们。一位使用访客办公室的承包商将冲击波病毒带入内部。他的笔记本电脑感染了安全柜台图像存储系统,然后该系统蔓延到人力资源服务器。反过来,这又引发了人力资源 XP 笔记本电脑的感染,而补丁在这些笔记本电脑上失败了。”
“看来我们需要再次重新审视我们的网络访问策略。我们不能让人们在未经合规性检查或扫描其系统的情况下进入我们的网络,”安全主管评论道。“我想继续讨论支付系统。它们是第一个受到攻击的。为什么它们没有像我们的内部系统那样打上补丁?”
现在轮到支付系统应用程序开发人员回答一些非常棘手的问题了。在匆忙内部开发支付系统应用程序的过程中,操作系统没有经过仔细检查。应用程序的设计以及对用户身份验证和登录时以及连接到本地 ISP 时的权限的修改,使得为系统打补丁极其困难。通过连接到特殊的 DMZ,它们在生产网络上是看不到的。使用拨号链路导致了何时可以触发补丁的问题。显然,这些支付系统必须重新考虑和加固。
经验教训
这个故事中的公用事业公司努力击败冲击波病毒并清理其持久影响。“经验教训”可以从允许冲击波病毒禁用用于产生收入的系统的情况中得出哪些结论?哪些策略不起作用或被违反,从而允许蠕虫病毒渗透到内部?揭示了哪些操作缺陷,使得完成保护环境的任务更加困难?
冲击波病毒在收入损失、其他项目延误、人力资源、挫败感和时间损失方面造成了多少损失?
成本
1. 个人。对于莫娜来说,成本是当她无法按时支付账单时与公用事业公司打交道。她被断电了,但最终能够在支付系统恢复在线后三天付款。由于情况特殊,重新连接费被免除了。不幸的是,她不得不为孩子们准备烛光冷麦片作为晚餐;冰箱里的食物变质了;没有电视来分散孩子们的注意力——那是艰难的几天。
2. 公司。公用事业公司在支付系统停机期间损失了超过 100 万美元的收入,这些收入通常会从支付系统中产生。在冲击波病毒危机期间,当前的项目不得不被搁置,因为每个人都需要缓解冲击波病毒造成的情况。加班费使季度预算超支,影响了奖金计算。那些每天都参与其中的工人面临挑战、工作过度和沮丧。
公司政策和技术解决方案中的弱点变得显而易见。它开始意识到,为了防止任何未来的威胁在内部网络中反弹,还有很多工作要做。它失败的原因是
• 补丁技术不完整且不标准。
• 管理补丁和审计的流程存在漏洞,允许易受攻击的机器进入生产网络。
• 内部开发流程没有安全审查组件,以确保符合可接受的安全标准。
• 网络访问策略未得到执行,允许不合规的非公司资产进入网络。
• 便利性优先于安全性。
3. 世界。2003 年 8 月,全球因生产力损失、缓解冲击波病毒和后来的 Welchia 病毒利用 DCOM 漏洞所需的时间以及对广大公众造成的不便而损失了数百万美元。与其他之前看到的混合威胁相比,传播速度相对较慢。漏洞利用时间,即从漏洞披露到冲击波病毒出现的时间,已从之前的恶意事件中缩短。
损失估算各不相同,但经济学家和行业分析师认为,生产力损失、禁用系统造成的收入损失以及为系统打补丁和恢复无法正常工作的系统的人力成本是巨大的——在 3.2 亿美元到 5 亿美元或更多之间。微软提供的最新估计表明,有 1600 万或更多系统沦为冲击波蠕虫病毒的受害者。冲击波病毒的流行范围比许多人认为的要大得多。1
DCOM 漏洞的利用促使互联网服务提供商采用更高的安全标准。由此产生的反应改变了互联网格局。合法程序对 DCOM 的使用必须重写,以绕过全球 ISP 实施的端口阻止。重新开发的成本几乎是无法估量的。
冲击波病毒对这个故事中涉及的人员造成了损失。在冲击波病毒事件期间,IT 工作人员很少见到家人。内部安全性的弱点、政策的未执行、补丁部署的缺乏以及应用程序部署的匆忙对安全主管来说变得非常明显。这是一个非常痛苦的教训。由于冲击波病毒导致 IT 项目计划的延误,进一步扰乱了安全主管及其保护企业的目标。
公用事业公司在支付系统被禁用时损失了大量收入。那些像莫娜一样不得不精打细算,勉强应付经济期限,并依赖支付系统的人们遭受了经济和个人挫折。在没有必要的安全审查的情况下开发支付系统应用程序变得非常明显。
所有以某种方式受到冲击波病毒入侵生活影响的人都从中断中恢复过来。对 2003 年 8 月的记忆正在随着时间推移而消退。如果可以选择,每个人可能都会选择从一开始就从未遇到过冲击波病毒。
参考文献
1. 有关冲击波病毒感染范围的最新讨论,请参阅 Remos, R. MSBlast Epidemic Far Larger than Believed. CNET News; http://news.com.com/2100-7349_3-5184439.html。
喜欢它,讨厌它?请告诉我们
[email protected] 或 www.acmqueue.com/forums
吉姆·莫里森 是赛门铁克安全服务的高级安全顾问,他在那里管理防病毒安全审核和评估;领导防病毒计划、实施和管理;在网关和群件级别实施入侵保护;并提供全面的项目管理。莫里森最初在赛门铁克的支持部门工作,为财富 500 强公司提供基于订阅的支持。他过去的经验包括在中学和大学层面教授生物学和化学。莫里森获得了北伊利诺伊大学生物科学专业的理学学士学位,辅修化学。
© 2004 1542-7730/04/0600 $5.00
温馨提示
大众媒体、有线电视频道和新闻服务机构报道了最新的计算机蠕虫病毒,这些病毒能够席卷全球并因其影响而引起关注。当大众媒体报道蠕虫病毒时,为时已晚。在全局爆发的初始阶段,第一响应报告服务可能非常有益。
早期信息预警
这些安全供应商提供订阅服务,提供有关最新威胁的早期信息预警系统。
赛门铁克
http://enterprisesecurity.symantec.com/products/products.cfm?ProductID=158&EID=0
趋势科技
http://www.trendmicro.com/en/home/us/enterprise.htm
iDefense
http://www.idefense.com/main.jsp?flashstatus=true
警报和信息服务
这些行业组织还向订阅者提供警报和信息服务。
CERT(美国计算机应急准备小组)
http://www.us-cert.gov/
CSRC(计算机安全资源中心)
http://www.csrc.nist.gov/pcig/ppsp.html
SANS(系统管理员、审计员、网络、安全)研究所
http://www.sans.org/index.php
探究冲击波病毒的根源
一旦冲击波病毒渗透到边界安全或被带入防火墙内部,它就会在公司网络上产生大量流量。当内部存在受感染的系统,感染或试图感染未打补丁的系统时,网络管理员面临着定位感染源的挑战。
冲击波病毒和后来的 Welchia 病毒的特性大量利用端口 135 来利用 Microsoft DCOM(分布式组件对象模型)漏洞。利用此特性,网络管理员可以将 IP 地址追溯到尝试查找易受攻击系统的系统。借助 Unix/Linux 防火墙中包含的 TCPDUMP 等工具,可以通过键入端口 135 请求来发现源 IP 地址。放置在网络网段上的商业或免费数据包嗅探工具(如 Network Instruments 的 Observer 或 Ethereal)也可以捕获和过滤端口 135 ping 并识别源 IP。ping 的数量可以从正常的端口 135 流量中识别出潜在的感染源。无论您使用软件包嗅探器还是以相同方式执行的设备,隔离源都非常重要。
杀毒软件供应商也提供工具和实用程序,可以帮助追踪特定感染的来源。请联系您的杀毒软件供应商以获取可用的工具和实用程序。
现在与杀毒技术捆绑在一起的个人防火墙组件也可以阻止或记录来自其他系统的连接。审查这些日志也可能查明潜在的冲击波(Blaster)感染源。最新一代的杀毒技术正在提供回溯技术,可以使用网络来发现感染源。赛门铁克公司的客户端安全 2.0 版本在其企业杀毒客户端中提供了一个回溯组件。
注意:在供应商发布病毒定义之前,他们必须采用标准的网络取证方法。一旦供应商发布了检测能力,那么安全产品不仅可以防御未知的感染源,还可以帮助识别来源。
最初发表于 Queue 杂志第 2 卷,第 4 期—
在 数字图书馆 中评论本文
更多相关文章
Paul Vixie - 坚持静态或回家
当前和历史上计算机与网络安全中的大多数问题都归结为一个简单的观察:让其他人控制我们的设备对我们不利。在另一篇文章中,我将解释“其他人”和“不利”的含义。就本文而言,我将完全专注于我所说的控制的含义。我们失去对设备控制权的一种方式是外部分布式拒绝服务(DDoS)攻击,这些攻击用不需要的流量填充网络,从而没有空间容纳真正的(“需要的”)流量。其他形式的 DDoS 攻击也很类似:例如,低轨道离子炮(LOIC)的攻击可能不会完全填满网络,但它会使 Web 服务器忙于应答无用的攻击请求,以至于服务器无法应答任何有用的客户请求。
Axel Arnbak, Hadi Asghari, Michel Van Eeten, Nico Van Eijk - HTTPS 市场中的安全崩溃
HTTPS(安全超文本传输协议)已发展成为安全 Web 浏览的事实标准。通过基于证书的身份验证协议,Web 服务和 Internet 用户首先使用 TLS/SSL 证书相互验证(“握手”),对 Web 通信进行端到端加密,并在浏览器中显示挂锁,以指示通信是安全的。近年来,HTTPS 已成为保护在线社交、政治和经济活动的重要技术。
Sharon Goldberg - 为什么保护互联网路由需要这么长时间?
BGP(边界网关协议)是将互联网粘合在一起的粘合剂,它实现了由不同组织运营的大型网络之间的数据通信。BGP 通过在组织之间设置流量路由,使互联网通信全球化 - 例如,从波士顿大学的网络,通过更大的 ISP(互联网服务提供商),如 Level3、巴基斯坦电信和中国电信,然后到达住宅网络(如 Comcast)或企业网络(如美国银行)。
Ben Laurie - 证书透明度
2011 年 8 月 28 日,一个为 google.com 错误颁发的通配符 HTTPS 证书被用于对伊朗的多个用户进行中间人攻击。该证书由一家名为 DigiNotar 的荷兰 CA(证书颁发机构)颁发,DigiNotar 是 VASCO Data Security International 的子公司。后来的分析表明,DigiNotar 早在一个多月前(至少从 7 月 19 日起)就已意识到其系统存在漏洞。分析还表明,至少已颁发了 531 个欺诈性证书。由于 DigiNotar 没有所有错误颁发的证书的记录,因此最终数量可能永远不得而知。
© 保留所有权利。